K2P使用IPsec打通不同内网后，能Ping通，但是无法访问业务口

Lenter · 发表于 2022-2-10 17:09:40

本帖最后由 Lenter 于 2022-2-10 17:33 编辑

【问题描述】K2P使用IPsec打通不同内网后，能Ping通，但是对端无法访问到K2P的管理界面和其他服务器的80、443端口

【设备信息】
设备型号：SA3
版本号：5.2.1.21190

【IPsec状态】

【测试验证】
对端内网地址：10.0.3.100
本段内网地址：10.2.1.1（K2P管理界面）、10.2.1.254（K2P管理界面）、10.2.1.253（内网交换机管理界面）
测试端口：80、443

Ping测试：

Telnet 端口测试：

抓包验证（Ping 和80端口）：
对端windows：

对端IPsec网关：

【其他】
工单编号：1007234
内网配置没有做更改，默认80端口，截图如下：

实在无法排查出K2P上还有什么限制访问，故咨询专家们支持。

Lenter · 发表于 2022-2-11 11:59:51

更新下最新进展，通过抓包和高恪管理界面展示的链接详情，结论如下：
1、请求端能正常Ping通10.2.1.253，但是无法访问80端口。
抓包能明确看到10.2.1.253回了RST报文。如下：

2、但是在高恪的管理界面能明确看到，回了SYN ACK报文。

3、在客户端细看报文，发现报文中的TTL不一致，可能存在代答。

Lenter · 发表于 2022-2-10 17:23:54

本帖最后由 Lenter 于 2022-2-10 17:34 编辑

无无无无

Lenter · 发表于 2022-2-10 17:32:30

本帖最后由 Lenter 于 2022-2-10 17:35 编辑

无无无无

邪恶海盗 · 发表于 2022-2-10 17:50:07

吐嘈一下字体,设计的人脑子绝对有问题,1和L看起来一模一样 hidao.org_2022-2-10_17-50-36.png

yifazhi · 发表于 2022-2-11 08:22:45

组好IPsec之后，我试过，访问对端设备的LAN口地址是无法访问的，但是对端其他IP都正常，192.168.1.0/24和192.168.10.0/24做IPSec互访，从192.168.1.x访问192.168.10.2-254都正常，唯独192.168.10.1无法访问

Lenter · 发表于 2022-2-11 09:19:39

yifazhi 发表于 2022-2-11 08:22
组好IPsec之后，我试过，访问对端设备的LAN口地址是无法访问的，但是对端其他IP都正常，192.168.1.0/24和19 ...

我现网情况是这样：
对端网段：10.0.3.0/24
本段网段：
10.2.1.0/25 GW:10.2.1.1
10.2.1.248/29 GW:10.2.1.254 CLIENT:10.2.1.253

按照你这边说的，我应该能访问到10.2.1.253，但是我这边验证不行。他这边是不是没什么方式可以解决掉这个问题。

yifazhi · 发表于 2022-2-11 09:46:43

Lenter 发表于 2022-2-11 09:19
我现网情况是这样：
对端网段：10.0.3.0/24
本段网段：

估计你得贴出你的配置参数了。反正我是可以访问的，我是3个点，两两之间做IPSec

Lenter · 发表于 2022-2-11 10:12:18

yifazhi 发表于 2022-2-11 09:46
估计你得贴出你的配置参数了。反正我是可以访问的，我是3个点，两两之间做IPSec ...

我这边刚刚抓包看了下，访问10.2.1.253的时候被RST了

，但是防火墙都放行了。在本段内网是能正常访问的。
抓包：

防火墙配置：

yifazhi · 发表于 2022-2-11 10:15:22

Lenter 发表于 2022-2-11 10:12
我这边刚刚抓包看了下，访问10.2.1.253的时候被RST了，但是防火墙都放行了。在本段内网是能正常访问的。 ...

尴尬了，看不懂，

Lenter · 发表于 2022-2-11 10:19:09

yifazhi 发表于 2022-2-11 10:15
尴尬了，看不懂，

哈哈哈，总之谢谢了

[K2P] K2P使用IPsec打通不同内网后，能Ping通，但是无法访问业务口

内测达人